Nieuws

Nieuwe certificaatcontrole aan Mozilla Firefox toegevoegd

donderdag 21 augustus 2014, 13:24 door Redactie, 11 reacties

Een aantal weken geleden heeft Mozilla aan Firefox een nieuwe controle van SSL-certificaten toegevoegd, die daarmee het vorige mechanisme vervangt dat jaren werd gebruikt. De nieuwe "certificate verification library" is van de grond af opgebouwd en heet "mozilla::pkix".

Naast het gebruik van veiligere programmeermethoden bij de ontwikkeling van de library, heeft Mozilla de gelegenheid ook aangegrepen om zich aan de specificatie voor het verifiëren van X.509 certificaten te houden. Zo zijn er maatregelen genomen die moeten voorkomen dat certificaten op bepaalde manieren kunnen worden misbruikt, terwijl dit bij oude certificaatcontroles niet werd tegengehouden.

De nieuwe controle kan er daarnaast voor zorgen dat sommige certificaten, die niet door certificaatautoriteiten (CA) in het Mozilla Root CA-programma zijn uitgegeven, niet meer op dezelfde manier werken. Mozilla zegt dat het nog bezig is om te kijken hoe het voor deze certificaten de juiste balans tussen security en bruikbaarheid kan vinden.

Onderzoekers vinden kwetsbaarheden in verkeerslichten

Onderzoekers smokkelen wapens langs bodyscanners TSA

Reacties (11)

21-08-2014, 14:44 door Anoniem

Is dit misschien de reden dat ik sinds gisteravond bij het inloggen van de ABNAMRO iedere keer wordt gevraagd via een popup, om de cookies te accepteren, terwijl deze al sinds heugenis op deze website zijn geaccepteerd.

21-08-2014, 17:31 door Anoniem

Denk niet dat een update van "Een aantal weken geleden..." gisteravond 'aan't' werk ging. Tenzij deze update gister door jou is geinstallerd... mvgr WTB

21-08-2014, 21:11 door [Account Verwijderd] - Bijgewerkt: 22-08-2014, 19:35

Door Anoniem 21-08-2014 14:44: Is dit misschien de reden dat ik sinds gisteravond bij het inloggen van de ABNAMRO iedere keer wordt gevraagd via een popup, om de cookies te accepteren, terwijl deze al sinds heugenis op deze website zijn geaccepteerd.

Je zou eens kunnen kijken of staat ingesteld dat bij het afsluiten van Firefox de cookies worden verwijderd.

22-08-2014, 00:00 door [Account Verwijderd]

[Verwijderd]

22-08-2014, 07:47 door VriendP - Bijgewerkt: 22-08-2014, 07:47

Het zou ook wel lekker zijn als firefox ondersteuning zou bieden voor de root ca's in windows. Daarmee wordt uitrollen van root ca certificates in een bedrijfsnetwerk makkelijker en krijgt het product ook wat meer zakelijk draagvlak.Nu is het meer een hobby browser.

22-08-2014, 08:49 door Anoniem

Door VriendP: Het zou ook wel lekker zijn als firefox ondersteuning zou bieden voor de root ca's in windows. Daarmee wordt uitrollen van root ca certificates in een bedrijfsnetwerk makkelijker en krijgt het product ook wat meer zakelijk draagvlak.Nu is het meer een hobby browser.

Afhankelijk van hoe je Firefox deployt in je bedrijf kun je er ook voor zorgen dat de certificaten in het package van Firefox zijn opgenomen. Dit kan bijvoorbeeld met CCK2.

22-08-2014, 09:20 door Anoniem

Door Serleena: als je via de adresbalk 'about:config' aanroept, dan naar de regel 'security.use_mozillapkix_verification' gaat en die van true naar false zet dan gaat firefox er weer op de oude manier mee om. Ik had het met een http .nl site die automatisch doorging naar de https .com versie waar ik een melding over OCSP en invalid certificate kreeg.
Na terug te zijn gegaan naar de oude manier werkte het wel gewoon op de nl site en werd ik ook niet doorgestuurd naar de .com site.

Handig om te weten :-)

Merkwaardig advies :

Security maatregelen terugdraaien in de about:config standaard settings !?!
Dat geldt dan voor alle websites die je vanaf dat moment bezoekt, alleen omdat één site niet naar wens functioneerde.

Zou het ook een overweging kunnen zijn die ene site dan met een andere (tweede) browser te bezoeken in plaats van de door mozilla verbeterde standaard certificaat websecurity te gaan verlagen / uit te schakelen?

Handig voor troubles!
Of zie ik dat helemaal verkeerd?

22-08-2014, 15:16 door Coyote76

@Serleena
Veel beter is om dit probleem te melden bij https://bugzilla.mozilla.org/, onder de afdeling Security PSM.
Ik wil dat ook wel doen als je me informatie geeft hoe dit probleem te reproduceren is.

22-08-2014, 22:34 door [Account Verwijderd]

[Verwijderd]

24-08-2014, 21:25 door Erik van Straten - Bijgewerkt: 24-08-2014, 21:37

Door Serleena: In het ene tabblad zet je die setting terug naar het oude, in het andere tabblad even naar de site die je wilt bezoeken. Bezocht en dan weer de setting naar het nieuwe zetten. Dat is mijn voorkeur tov gebruiken van iexplore oid.

Om te reproduceren.... bandolera .nl
en dan ga je dus naar de https .com versie

Tot zover gevonden dat het met CA's en zelf gesigneerde SSL certificaten te maken heeft.

Sorry voor de late reactie, ik was er even tussenuit :)

Zojuist gecheckt: ongeacht of de about:config instelling van 'security.use_mozillapkix_verification' op true of op false staat in Firefox 3.1, als ik als URL bandolera.nl intik, word ik naar https://www.bandolera.com/ gestuurd.

De reden dat er een OCSP foutmelding volgt komt door een fout van de beheerders van Bandolera. Er wordt namelijk "OCSP-stapling" informatie meegestuurd die aangemaakt is op 2014-02-18 en geldig is tot 2014-02-25. Daarbij wordt een OCSP-signing certificaat meegestuurd dat geldig is t/m 2014-04-06. Met de instelling 'security.use_mozillapkix_verification=true' voert Firefox vervolgens geen "normale" online OCSP check uit (door te communiceren met http://ocsp.thawte.com/) en toont meteen de OCSP foutmelding die jij kreeg en ik ook zag.

Met 'security.use_mozillapkix_verification=false' is het me niet duidelijk of Firefox de "OCSP stapling" check geheel niet uitvoert en meteen overgaat tot een online OCSP check, of de "OCSP stapling" wel uitvoert en na de fout alsnog besluit een online check uit te voeren. In elk geval zie ik in Wireshark dat met de instelling 'security.use_mozillapkix_verification=false' er wel een online OCSP check wordt uitgevoerd, en niet met de instelling 'security.use_mozillapkix_verification=true'.

Om wat ik schrijf te controleren kun je ook 'security.ssl.enable_ocsp_stapling=false' instellen (met 'security.use_mozillapkix_verification=true'): daarmee krijg ik verbinding (zonder OCSP foutmelding) met https://www.bandolera.com/.

IBM domino servers zijn met FF 31 ook niet te benaderen.....

Ik heb geen idee wat daar de oorzaak van is.

27-08-2014, 14:40 door Coyote76

Inmiddels is vanuit Mozilla de website gewezen op de fout. Bandolera heeft inmiddels de site aangepast en werkt deze dus weer gewoon met Firefox 31 met de nieuwe pkix-verificatie.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer